ロシアのウクライナ侵攻に抗議する意図でオープンソースパッケージに悪質コード

今回は「ロシアのウクライナ侵攻に抗議する意図でオープンソースパッケージに悪質コード」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 最初は邪心のない抗議活動だった。JavaScriptのパッケージマネージャー「npm」のメンテナーであるBrandon Nozaki Miller氏(RIAEvangelist)は、「peacenotwar」というオープンコードのnpmソースコードパッケージを開発し、公開した。ロシアによるウクライナ侵攻に対する抗議メッセージを追加する以外、特別な機能はなかった。しかしその後、このパッケージはダークサイドに向かって舵を切り、コンピューター上のファイルを破壊し始めた。

 正確には、Miller氏はロシアまたはベラルーシのIPアドレスを使用しているコンピューター上のファイルを破壊するようなコードを追加した。そしてこのモジュールを、広く普及しているnode-ipcモジュールに依存するパッケージとして追加したのだ。このnode-ipcは、多くのJavaScriptプログラマーが使用し、依存関係の多いパッケージだ。このためpeacenotwarは、ちょっと気に障る存在から、システム破壊者へと姿を変えたのだ。

 peacenotwarは、最初に公開された時から数回の変更を経ているが、極めて危険なものと見なす必要がある。Miller氏は被害の拡大を狙い、コードの変更部分をBase64でエンコードすることで、単にコードを見るだけでは問題を発見しづらくしている。

 この問題を発見した、開発者向けセキュリティプラットフォームを手掛けるSnykによると、「node-ipc(10.1.1以降で10.1.3よりも前のバージョン)は、悪意あるパッケージだ。ロシアやベラルーシのIPを用いているユーザーを標的にする悪質なコードが含まれている。絵文字のハートでユーザーのファイルを上書きする」という。この問題は現在、「CVE-2022-23812」として追跡されている。Snykはこの悪質なオープンソースパッケージに対して、共通脆弱性評価システム(CVSS)で9.8(緊急)というスコアを付与している。

 つまり、このパッケージは絶対に使うべきではないということだ。

 これは、言うは易く行うは難しだ。node-ipcは数多くのプログラムに組み込まれている。このnodejsモジュールは「Linux」や「Mac」「Windows」システム上のローカルやリモートでのプロセス間通信(IPC)で用いられている。また、広く普及しているVue CLIでも用いられている。そのため、このマルウェアは多数のシステムに影響を及ぼす恐れがある。

 この問題を発見したSnykの研究者Liran Tal氏は、「メンテナーRIAEvangelistの意図的で危険な行為が、一部で正当な抗議の行動だと受け止められるとしても、開発者コミュニティーにおけるこのメンテナーの今後の評判や利害にどう影響を及ぼすだろうか?このメンテナーは今後、彼らが参加するどのプロジェクトに対しても、そのような行為、あるいは一層攻撃的な行為を実行に移すことはないと、再び信用を得ることはないのではないか?」と述べている。

 Miller氏はGitHubで公開しているpeacenotwarモジュールについて、「これは、完全に公開され、文書化され、ライセンス化されているオープンソース(プログラム)だ」と自ら擁護している。

 しかし、もし誰かがこのようなことを実行し、そのようなメッセージを残さなければどうなるだろうか。ユーザーが詳細な情報を得て判断できるようにすることが重要であれば、この危険なコードが見えなくなっていたのはなぜか。

 いずれにせよ、誰もが知っている通り、人はドキュメントを読みたがらないものだ。さらに、Sophosの上級脅威リサーチャーSean Gallagher氏もツイートしているように、本番システムに対して何も考えずにコードを追加するような人は、自らでトラブルを呼び込むことになる。同氏は「品質保証(QA)を適切に実施できない依存関係をそのままパッチとして適用しているのであれば、セキュリティ運用(SecOps)をまったく実行していないことになる」と記している

 とは言うものの、この「プロテスト(抗議)ウェア」は危険な前例を作り出したといえるだろう。あるプログラマーはGitHubで、「これで何が起こるかといえば、ロシアや政治と無関係の西側企業のセキュリティチームがフリー、オープンソースのソフトウェアをサプライチェーン攻撃の手段として捉え始め、フリー、オープンソースのソフトウェアをすべて社内で禁止し始める。あるいは、少なくともコミュニティーがメンテナンスしているものすべてをだ。ウクライナの人々にとって、プラスの影響はなく、FOSS(フリーオープンソースソフトウェア)の導入を損なうだけだろう」と指摘している。

 その一方で、オープンソース界の持つ自浄作用が働き始めている。開発者のTyler S. Resch氏(MidSpike)によって、安全なnode-ipcのフォークをGitHub上に構築する取り組みが開始されている。

元記事: https://japan.zdnet.com/article/35185315/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
LegalOn Technologies、小規模企業向け契約書チェックツール「LFチェッカー」リリース
IT関連
2023-09-05 04:09
静的サイトジェネレータ「Astro 4.0」正式リリース。デバッグを容易にするDev Toolbarが登場、キャッシュ導入でビルド時間が80%短縮
HTML/CSS
2023-12-13 06:21
アバナードら、小売現場のスマート化に着手–エッジデバイス活用でデータ量削減
IT関連
2022-04-26 23:47
台湾の水不足でわかるテックへの気候変動の脅威
EnviroTech
2021-03-13 00:49
東急グループ、定額制の宿泊サービスにStripeの決済システムを導入
IT関連
2024-02-17 01:19
日本テラデータ、国内事業や製品戦略を紹介–モダンデータスタックなどとの連携強化
IT関連
2023-08-04 01:47
ヨーカドーで“AR試着” 服やメイク、ランドセルまで
企業・業界動向
2021-04-24 22:31
新たなAWS経営者にTableauのCEOアダム・セリプスキー氏が選ばれた論理的理由
ネットサービス
2021-03-27 14:40
「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき–CISAとFBIが警告
IT関連
2022-11-19 19:30
今がオープンソースから「ポストオープン」へ踏み出すとき。オープンソースの中心人物ブルース・ペレンズ氏が提案する、開発者にお金を分配できる新たな仕組み[前編]
オープンソース
2024-04-16 07:12
大塚商会、2022年度上期は減収減益–提案力向上の取り組みなども
IT関連
2022-08-03 17:34
ポケモンGOの新型コロナ対策ボーナス廃止を受けインフルエンサーたちがボイコットを示唆
ゲーム / eSports
2021-08-04 22:15
ランサムウェア攻撃グループ「REvil」のウェブサイトがオフラインに?
IT関連
2021-07-14 09:18
多数の「Linux」ディストリビューションに影響する脆弱性–パッチ適用を
IT関連
2023-10-07 06:04